Question & Answer
Question
Windows エージェント・エンドポイントの一般的なトラブルシューティングとして、どのような手順があるのでしょうか?
Answer
ブルー・スクリーン
ブルー・スクリーンが発生した場合は、以下の情報を収集してください。
- ダッシュボードまたはクライアント名 (MSSP 環境の場合 ) 。
- 事象が発生したエンドポイント名、または複数のエンドポイント名。
- ブルー・スクリーンが再現可能な場合は、再現する手順とエラー発生時に関連したソフトウェアのバージョンを収集してください。
- 事象が発生した時刻と日付。
エンドポイント上の対処:
以下のディレクトリーにクラッシュ・ダンプがあるか確認します。
- C:\Windows\Minidump
- C:\Windows\MEMORY.DMP
ブルー・スクリーンが繰り返し発生する場合の対処:
ブルー・スクリーンが繰り返し発生する場合は、根本原因が ReaQta Hive サーバーにあるかどうかを ReaQta サポートへ確認する必要があります。確認の際は、次の手順を行ってください。
- 前述の「ブルー・スクリーン」セクションの 1. から 4. の情報を収集します。
- セーフモードを起動します。
- 「 C:\windows\system32\drivers\rqtsentry.sys 」にある「 rqtsentry.sys 」のファイル名を「 rqtsentry-off.sys 」に変更します。
- 「 C:\windows\system32\drivers\rqtnetsentry.sys 」にある「 rqtnetsentry.sys 」のファイル名を「 rqtnetsentry-off.sys 」に変更します。
- 「 C:\windows\system32\drivers\i00.sys 」にある「 i00.sys 」のファイル名を「 i00-off.sys 」に変更します。
- 再起動します。
- 「ブルー・スクリーン」セクションの情報を ReaQta サポートへご提供ください。
フォレンジック・キット( Forensics Kit )の障害
フォレンジックの生成に失敗する場合は、以下を実施してください。
- 「 ENDPOINTS 」タブの該当エージェントを選択して「 ENDPOINTS DETAILS 」ページを開き、「 Status 」の列にある「 Failed 」アイコンの上にマウス・カーソルを合わせます。
- エラー文字列を収集します。
- 以下のメッセージが表示される場合は、エンドポイント・レベルで PowerShell の実行がブロックされていることを意味します。ブロックを解除することを IT 管理者へ連絡の上、再試行してください。
Package generation failed: Launch script failed: 669
-
エラーが異なる場合は、ReaQta サポートへお問い合わせください。
エージェント・サービス
※以下の定められた開始と停止の順番を確認の上、順守してください。
ReaQta サービスを停止するには、以下の順に実行します。
Keeper
Rqtsentry
i00
注: rqtnetsentry は順番による影響がないため、いつでもオフに切り替えることができます。
ReaQta サービスを開始するには、以下の順に実行します。
i00
Rqtsentry
Keeper
注: rqtnetsentry は順番による影響がないため、いつでもオンに切り替えることができます。
一般的な注意点: すべてのサービスがシステムとして実行されているため、変更することはできません。
一般的な注意点: すべてのサービスがシステムとして実行されているため、変更することはできません。
キーパー( Keeper ) クラッシュ
イベント・ビューアーおよび(または)システム・クラッシュの場所から「キーパー( keeper )」クラッシュを見つけた場合は、以下の手順を行ってください。
- admin 権限でエージェントにアクセスして、「 services.msc 」または「 cmd.exe 」から「 sc query keeper 」を実行します。keeper が稼働し続けているかどうかを確認します。
- keeper のイベントが安定した状態を保つことができない場合は、以下のフォルダーにある「 keeper 」で始まるダンプ・ファイルを収集します。
C:\Windows\System32\config\systemprofile\AppData\Local\CrashDump - ReaQta サポートへ連絡の上、収集したクラッシュ・ダンプ・ファイルをご提供ください。
重要な注意点: Keeper は、自動的に再起動することで、内部クラッシュから自動再起動および修復ができます。この処理により、エンドポイントを確実に保護し続けることができます。
パフォーマンス
パフォーマンスの問題を切り分けするには、以下のどのカテゴリーに該当するかを確認してください。
- アプリケーションの問題: 特定のアプリケーションまたはアプリケーションのグループのパフォーマンスが低下している。
- システム全体の問題: システム全体のパフォーマンスが低下している。
パフォーマンスの問題が特定のアプリケーションに関連している場合、次の手順が行えます。
- アプリケーションによって実行されるアクション、および該当する実行ファイルのフルパスを特定します。
- 特定した場合は、そのエージェントの「 Live Response 」ボタンから「 antiransomware off 」コマンドを実行して、アンチランサムウェアを無効にします。
- 問題が解決されたかどうかを確認します。
- 問題が解決された場合は、「 App Directory 」または「 Binary Hash 」を使用して「 behaviour-based 」の Allowlist を作成の上、該当のアプリケーションのトリガー・タイプとして「 Ransomware Behavior 」を選択します。
- 「 antiransomware on 」コマンドを実行して、アンチランサムウェアを再度有効にします。
- 前述 2. から 5. で問題が解決しない場合は、「 THREAT HUNT 」から同じ時間帯で関連性のある余分なプロセスがあるか確認して、追加でランサムウェアの「 behavior-based 」の Allowlist を作成します。
- 前述 2. から 6. で問題が解決しない場合は、admin 権限で「 cmd.exe 」から「 sc stop keeper 」コマンドを実行して、keeper を無効にします。
- 再度アプリケーションを試行して、パフォーマンスに変化があるかどうかを確認します。
- 前述 7. から 8. で問題が解決しない場合は、admin 権限で「 cmd.exe 」から「 sc stop rqtsentry 」コマンドを実行して、rqtsentry を無効にします。
- 再度アプリケーションを試行して、パフォーマンスに変化があるかどうかを確認します。
- 確認後に「 cmd.exe 」から「 sc start rqtsentry 」>「 sc start keeper 」の順にコマンドを実行して、再び keeper を有効にします。
- 前述のいずれの内容でも解決しない場合は、問題が発生した日付、時間、エンドポイント名、アプリケーションのフルパスを確認の上、ReaQta サポートへお問い合わせください。
一般的な遅延
- メモリ、CPU、影響のある特定の操作など、パフォーマンスへの影響に関連する情報を収集します。Windows タスクマネージャーまたはプロセスハッカー( Process Hacker )を使用して、「 keeper.exe 」プロセスのメモリ消費量を収集することができます。
- Microsoft Windows Performance Analyzer をインストールします。
- xperf を使用して、admin 権限で「 cmd.exe 」から以下のコマンドを実行します。
xperf -on PROC_THREAD+LOADER+PROFILE+FLT_IO_INIT+FLT_IO+FLT_FASTIO+FLT_IO_FAILURE+FILENAME+DISK_IO+DISK_IO_INIT -stackwalk Profile+MiniFilterPreOpInit+MiniFilterPostOpInit+DiskReadInit+DiskWriteInit+DiskFlushInit -BufferSize 1024 -MinBuffers 256 -MaxBuffers 256 -MaxFile 256 -FileMode Circular
- 5 分ほど待機した後、以下のコマンドを実行してキャプチャーを停止させます。特定のアプリケーションの動作が著しく遅い場合は、xperf のキャプチャー中に該当のアプリケーションを開いて使用してください。
xperf -stop -d minifilter_and_diskio.etl
このコマンドは、xperf ツールが実行されている現在の作業ディレクトリに.etl ファイルを保存します。
![image-20220329155309-1](/support/pages/system/files/inline-images/image-20220329155309-1.png)
ReaQta サービスがエンドポイントでどのように実行されるか ?
Windows エンドポイントで実行されるサービスは以下のとおりです。
Keeper
Rqtsentry
Rqtnetsentry
i00
Windows エージェント・サービスの簡単な説明:
[ Keeper ]
キーパー( Keeper )はエージェントのコア・サービスであり、システム権限で実行する user mod サービスです。
Keeper は重要なコンポーネントであるため、このサービスがないインストールは、失敗するか正しく機能しない可能性があります。
役割:
- NanoOs、カーネル、ドライバーからすべてのデータを収集する。
- アラート・データを作成するために収集データを組み立てる。
- Hive サーバーと通信する。
- rqtsentry にポリシーを伝搬する。
- 有効な新規ビルド・パッケージのデプロイ時にエージェントのアップデートを実行する。
注: システムにログインしているユーザーごとに、子キーパーのサービスがあります。これは、1 個のメイン・キーパーと n 個のキーパー・サービス( n = ログインユーザ)を意味します。
[ rqtsentry ]
rqtsentry は、メインのサービスとなるフィルタリング・ドライバーです。rqtsentry は重要なコンポーネントであるため、このコンポーネントがないインストールは、失敗する可能性があります。
役割:
- カーネルからデータを収集する。
- ポリシーを適用する。
- プロセスを Kill する。
- rqtnetsentry と i00 と通信する。
[ rqtnetsentry ]
rqtnetsentry は、ネットワークのフィルタリング・サービスです。rqtnetsentry は動作に必須なコンポーネントではないため、このサービスが無くてもインストールは成功して正しく動作します。
役割:
- ネットワーク接続データを収集する。
注: ReaQta ソリューションはこのサービスが無くても動作しますが、ネットワーク接続のアクティビティ内が見づらくなります。
[ i00 ]
NanoOS のサービスです。
役割:
- rqtsentry と通信する。
注: i00 がシステム上で ACTIVE である場合、手動で停止するとシステムが不安定になる可能性があります。一方で ACTIVE ではない場合は、サービスを停止しても問題ありません。このサービスは使用されていなく( Active でなく)とも、常に稼動します。
Related Information
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSVOEH","label":"IBM Security ReaQta"},"ARM Category":[{"code":"a8m3p000000hBSLAA2","label":"Agent-\u003EPerformance"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
08 July 2022
UID
ibm16590937